В настоящее время у нас есть мобильное приложение, которое выполняет вызовы нашего API, учетные данные пользователей используются для получения токена доступа и обновления токена, также у нас есть третье лицо, которому необходимо позвонить на некоторые из конечных точек.Что является лучшим способом защиты API, я беспокоюсь, что если наши клиенты поделятся своими учетными данными с кем-то, они смогут получить доступ к нашему API.Как ограничить доступ к API только из мобильного приложения?Я думал о создании отдельного имени пользователя / пароля для мобильного приложения, которое будет использоваться для доступа к API и будет внутри кода мобильного приложения, поэтому к нашему API нельзя получить доступ с использованием учетных данных клиента.Лучше использовать учетные данные для получения временного токена доступа или просто создать постоянный токен на нашей стороне и поделиться им с пользователями?